Der externe Datenschutzbeauftragte

Als Dienstleister übernehmen wir alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutzbeauftragter

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein zertifizierter externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

gdd-mitglied-pos
2016_01_29_Logo_Mitglieder_lowres

Serie Betroffenenrechte: Allgemeine Regeln

11. Juli 2019

Die DSGVO räumt den betroffenen Personen zahlreiche Rechte ein. Eng damit verknüpft sind umfangreiche Pflichten auf Seiten der Verantwortlichen. Diese Pflichten sind, wenn man so will, das Spiegelbild der Rechte betroffener Personen.

Im Rahmen unseres regelmäßigen Newsletters beabsichtigen wir, in Form einer Beitragsreihe unter dem Namen „Rechte betroffener Personen“- ähnlich der Themenreihe zu den Rechtsgrundlagen – jeweils einem Betroffenenrecht einen gesonderten Artikel zu widmen.

Dabei sind die „Highlights“ wie das Auskunftsrecht nach Art. 15 DSGVO inzwischen bekannt und die verpflichtende „Datenschutzerklärung“ – Informationen gem. Artt. 13 bzw. 14 DSGVO – ist nach wie vor in aller Munde. Es ist jedoch für die Verantwortlichen sehr wichtig, nicht nur grob zu wissen, dass es die Rechte gibt und welche es sind, sondern auch, was sie genau beinhalten und was bei ihrer Gewährleistung gemacht (oder auch nicht gemacht) werden muss.

Allgemeine Vorgaben zur Erfüllung der Betroffenenrechte

Bevor wir jedoch mit den einzelnen Rechten (und den entsprechenden Pflichten) in unserer Artikelreihe beginnen und insbesondere auf die häufigen Missverständnisse und Irrtümer eingehen, die es in diesem Zusammenhang gibt, wollen wir uns einleitend  und „ausgeklammert“ zunächst allgemein mit dem „Wie“ der Pflichterfüllung beschäftigen.

Dieses „Wie“ regelt eine Norm, die eher unauffällig ihr Dasein fristet. Die Rede ist von Art. 12 DSGVO. Es ist ein Artikel, den der Gesetzgeber so zu sagen „vor die Klammer gesetzt“ hat und der für Rechte und Pflichten aus Artt. 13 und 14 sowie Artt. 15 bis 22 und auch 34 DSGVO einen gewissen (Ordnungs-)Rahmen bildet. Seine Bestimmungen sind bei allen Rechten und entsprechenden Mitteilungen zu beachten. Hier erfährt ein Verantwortlicher allgemein und übergreifend jede Menge über die Art und Weise, wie die Pflichten zu erfüllen und Rechte zu gewährleisten sind.

Was sind die wesentlichen Bestimmungen des Art. 12 DSGVO?

Transparenz, Verständlichkeit und leichte Zugänglichkeit der Information

Art. 12 Abs. 1 DSGVO begründet für die Verantwortlichen die Pflicht, die Informationen, die eine betroffene Person erhält – und dazu gehören nicht nur Informationen nach Artt. 13 und 14 DSGVO, sondern auch Mitteilungen, die an betroffene Personen gemäß Artt. 15 bis 22 sowie 34 DSGVO zu machen sind – in einer Form zu übermitteln, die präzise (auf den Aussagekern reduziert), transparent (keine verschleiernden Informationen), verständlich (aus sich nachvollziehbar) und leicht zugänglich (leicht auffindbar insbesondere durch optische Gestaltung) ist. Der Verantwortliche erteilt die Informationen bzw. macht die Mitteilungen grundsätzlich schriftlich. Dies kann jedoch auch elektronisch erfolgen, beispielsweise über ein Webportal oder per E-Mail. Insbesondere bei der Übersendung von Informationen nach Art. 15 DSGVO ist hierbei natürlich auch die Vertraulichkeit zu beachten und gegebenenfalls auf einen verschlüsselten Weg zurückzugreifen.

Die Gestaltung der Sprache hat nicht nur einfach zu sein, sondern muss sich an der Landessprache des jeweiligen Marktortes orientieren. Es sind daher gegebenenfalls Informationen in mehreren Sprachen bereitzuhalten. Gemäß Art. 12 Abs. 7 DSGVO können die Informationen, die gemäß Artt. 13 und 14 DSGVO zur Verfügung zu stellen sind, in Kombination mit standardisierten Bildsymbolen bereitgestellt werden. Diese müssen jedoch maschinenlesbar sein. Aktuell wird von dieser Möglichkeit wenig Gebrauch gemacht, da entsprechende einheitliche Symbolstandards weitgehend fehlen. Sobald diese eingeführt werden, ist es durchaus sinnvoll darauf zurückzugreifen, um die Transparenz und die Verständlichkeit der Informationen sicherzustellen. Nach unserem derzeitigen Kenntnisstand soll die Einführung im Rahmen der ePrivacy-Verordnung, also voraussichtlich nicht vor 2021, erfolgen.

Besonderheiten sind bei Kindern zu beachten. Das bedeutet nicht, dass kindergerechte Texte generell vorzuhalten sind, wenn ein Angebot (auch) von Kindern genutzt wird, sondern nur dann, wenn ein Verantwortlicher mit seinen Angeboten Kinder explizit anspricht. Hier besteht die Pflicht und auch die Herausforderung, die komplexen Informationen so zu übermitteln, dass auch ein Kind sie verstehen kann. Wie das auch bei komplizierten Sachverhalten und Zusammenhängen geht, zeigt eindrucksvoll die Information der UNICEF, die die Konvention über die Rechte des Kindes in einer kindergerechten Sprache erklärt.

Erleichterung der Rechteausübung

Nach Art. 12 Abs. 2 DSGVO hat der Verantwortliche dafür zu sorgen, dass keine inhaltlichen oder administrativen Barrieren der Rechteausübung entgegenstehen. Allerdings ist hier zu beachten, dass der Verantwortliche aufgrund des Antrags nicht tätig werden muss und sich weigern kann, dem Antrag zu entsprechen, wenn er die betroffene Person (Antragsteller) nicht identifizieren kann. Bei Identifizierungsschwierigkeiten muss er gegebenenfalls sogar sein Tätigwerden im Sinne des Antrags verweigern, denn anderenfalls könnte eine Verletzung des Schutzes personenbezogener Daten vorliegen (sogenannte „Datenpanne“), die bußgeldbewehrt wäre.

Die Zweifel an der Identität lassen sich beispielsweise durch Nutzung von digitalen Authentifizierungsverfahren beseitigen, etwa durch Nutzung derselben Berechtigungsnachweise, die die betroffene Person einsetzt, um sich bei den ihr durch den Verantwortlichen bereitgestellten Diensten anzumelden (vgl. Erwägungsgrund 57 zur DSGVO). Zudem kann (bereits bei Begründung einer Geschäftsbeziehung) eine Sicherheitsabfrage vereinbart werden. Das Einholen zusätzlicher Informationen zur Identitätsfeststellung gestattet dem Verantwortlichen Art. 12 Abs. 6 DSGVO, verpflichtet ihn aber nicht hierzu. Das Anfordern von Ausweiskopien ist in Deutschland dabei nur ausnahmsweise erlaubt und die Erforderlichkeit muss in jedem Einzelfall geprüft werden. Hier bietet eine aktuelle Informationsbroschüre der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) wertvolle Hinweise zur Nutzung von Personalausweisen im Geschäftsverkehr.

Fristen für den Verantwortlichen

Der Verantwortliche muss über die Maßnahmen, die er auf einen Antrag gemäß Artt. 15 bis 22 DSGVO hin ergriffen hat, unverzüglich (das bedeutet ohne schuldhaftes Zögern), längstens jedoch innerhalb eines Monats nach Antragseingang, die betroffene Person informieren. Ist die Informationserteilung aufgrund der Komplexität des zugrundeliegenden Sachverhalts nicht innerhalb eines Monats möglich, kann die Frist um bis zu zwei weitere Monate verlängert werden. Auch über die Fristverlängerung ist die betroffene Person unter Angabe von Gründen bereits innerhalb des ersten Monats zu unterrichten.

Unterrichtungspflichten des Verantwortlichen bei Untätigkeit

Bleibt der Verantwortliche nach einem Antrag gemäß Artt. 15 bis 22 DSGVO untätig, so hat er gemäß Art. 12 Abs. 4 DSGVO die Pflicht, die betroffene Person unverzüglich (Definition siehe oben) oder spätestens innerhalb eines Monats über die Gründe seines Untätigbleibens zu informieren. Ein Grund kann beispielsweise das Nichtvorliegen von personenbezogenen Daten des Antragsstellers beim Verantwortlichen sein oder gesetzliche Aufbewahrungsfristen, die einem Löschbegehren aus Art. 17 DSGVO entgegenstehen. Die Unterrichtung muss eine Rechtsbehelfsbelehrung enthalten, die darüber informiert, dass die betroffene Person sich bei einer Behörde beschweren (Art. 77 DSGVO) oder gerichtliche Rechtsbehelfe einlegen kann (Art. 79 DSGVO).

Unentgeltlichkeitsgrundsatz

Die Informationen, die ein Verantwortlicher zur Verfügung stellt, sind gemäß Art. 12 Abs. 5 S.1 DSGVO grundsätzlich unentgeltlich zu erteilen. Allerdings gilt dieser Grundsatz nur, soweit der Antragsteller nicht rechtsmissbräuchlich handelt. Tut er das und stellt offenkundig unbegründete oder exzessive bzw. sich oft wiederholende Anträge, kann der Verantwortliche ein angemessenes Entgelt für die Informationserteilung verlangen. Hier können insbesondere neben den reinen Porto- und Übermittlungskosten auch anteilige Lohn- und Gehaltskosten (beispielsweise für Recherchearbeit) berücksichtigt werden. Zum Teil wird vertreten, dass auch eine pauschale Abgeltung möglich sein soll.

Was lernen wir daraus?

Wie man sieht, stehen die einzelnen Betroffenenrechte nicht losgelöst da, sondern sind in ein ausgeklügeltes Norm-System eingebettet, welches stets zu berücksichtigen ist, wenn es um die Rechte der betroffenen Personen geht.

Nachdem wir mit dem heutigen Beitrag unser Koordinatensystem, in dem wir uns über die nächsten Monate hinweg bewegen werden, beleuchtet haben, freuen wir uns auf eine gemeinsame Reise durch die Welt der Rechte und Pflichten nach der DSGVO.

Benötigen Sie Unterstützung bei der Beantwortung von Anfragen betroffener Personen? Sprechen Sie uns an, wir helfen Ihnen gerne!

 

Dieser Artikel ist Teil unserer Reihe zu den Betroffenenrechten. Die anderen finden Sie hier:

  • Teil 1: Allgemeine Regelungen (dieser Artikel)
  • Teil 2: Auskunft / Art. 15
  • Teil 3: Berichtigung / Art. 16 (zukünftig)
  • Teil 4: Löschung / Art. 17 (zukünftig)
  • Teil 5: Einschränkung der Verarbeitung / Art. 18 (zukünftig)
  • Teil 6: Datenübertragbarkeit / Art. 20 (zukünftig)
  • Teil 7: Widerspruch / Art. 21 (zukünftig)
  • Teil 8: Beschwerde bei der Aufsichtsbehörde / Art. 77 (zukünftig)
  • Teil 9: Widerruf einer Einwilligung / Art. 7 (zukünftig)